El RGPD y la LOPD 3/2018 hacen referencia al “tratamiento a gran escala” en numerosas ocasiones, la obligación de designar un delegado de protección de datos o de realizar una evaluación de impacto dependen de este término, pero ¿Qué se considera tratamiento a gran escala de datos personales?
Tratamiento a gran escala en la designación del Delegado de protección de datos (DPD)
El artículo 37 del RGPD establece que “El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o;
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”
Por su parte, el artículo 34 de la LOPD 3/2018, encargada de desarrollar el RGPD en España, prevé la designación obligatoria del DPD:
“c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.”
Evaluaciones de impacto (EIPD)
El artículo 35 del RGPD 3 requiere realizar una evaluación de impacto relativa a la protección de los datos, en particular en caso de:
“c) observación sistemática a gran escala de una zona de acceso público.”
Designación de Representantes de responsables o encargados del tratamiento no establecidos en la Unión
En virtud del artículo 27 del RGPD el responsable o el encargado del tratamiento no estarán obligados a designar por escrito un representante en la Unión siempre que el “tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento”
Hemos visto la importancia que tiene este concepto en el RGPD y la LOPD pero, ¿Qué significa realizar un tratamiento de datos a gran escala?
¿Qué significa realizar un tratamiento de datos a gran escala?
El concepto de tratamiento de datos a gran escala no está definido ni en el RGPD ni en la LOPD, de hecho, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones.
Este hecho no descarta la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos que definan qué constituye “a gran escala” con respecto a determinados tipos de actividades de tratamiento comunes.
El Grupo de Trabajo del artículo 29 recomienda que se tengan en cuenta los siguientes factores, a la hora de determinar si el tratamiento se realiza a gran escala:
- El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
- El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
- La duración, o permanencia, de la actividad de tratamiento de datos.
- El alcance geográfico de la actividad de tratamiento.
Ejemplos de tratamiento a gran escala de datos personales
El Grupo de Trabajo del artículo 29 ha contribuido al desarrollo de este concepto compartiendo y publicando ejemplos de los umbrales pertinentes para la designación de un DPD, estos son:
Como ejemplos de tratamiento a gran escala cabe citar:
- el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
- el tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
- el tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
- el tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
- el tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
- el tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.
Como casos que no constituyen tratamiento a gran escala cabe señalar:
- el tratamiento de datos de pacientes por parte de un solo médico;
- el tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.
Deja un comentario